MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Poprawka do Japońskiej Ustawy o Ochronie Danych Osobowych z roku Reiwa 4 (2022) - 'Informacje przetworzone pseudonimowo' i inne nowości mające na celu promowanie wykorzystania danych

General Corporate

Poprawka do Japońskiej Ustawy o Ochronie Danych Osobowych z roku Reiwa 4 (2022) - 'Informacje przetworzone pseudonimowo' i inne nowości mające na celu promowanie wykorzystania danych

Prawo dotyczące przetwarzania danych osobowych jest często zmieniane i dostosowywane do aktualnych czasów. Podmioty przetwarzające dane osobowe muszą szybko zrozumieć te zmiany i dostosować swoje wewnętrzne procedury.

Wzmocnienie praw jednostki, zmiany dotyczące udostępniania danych osobowych stron trzecim, w tym za granicą, wprowadzenie nowych kategorii danych, takich jak “informacje przetworzone pseudonimowo” i “informacje związane z osobą”, to tylko niektóre z wielu punktów, które zostały zmienione w ramach nowelizacji japońskiego “Ustawy o ochronie danych osobowych” w 2022 roku. Podmioty przetwarzające dane osobowe muszą zrozumieć, jakie zmiany zostały wprowadzone i jakie działania powinny podjąć.

W związku z tym, omówimy punkty kontrolne dla praktyki biznesowej podmiotów przetwarzających dane osobowe w związku z nowelizacją “Ustawy o ochronie danych osobowych”, która weszła w życie 1 kwietnia 2022 roku (Rok 4 Ery Reiwa).

Co to jest Ustawa o ochronie danych osobowych?

Ustawa o ochronie danych osobowych

“Ustawa o ochronie danych osobowych”, której pełna nazwa brzmi “Ustawa o ochronie informacji osobistych”, jest prawem regulującym odpowiednie postępowanie z danymi osobowymi (regulacje dotyczące pozyskiwania, wykorzystywania, przechowywania, zarządzania, udostępniania, ujawniania, zatrzymania i usuwania), mającym na celu zrównoważenie użyteczności informacji osobowych i ochrony praw i interesów jednostki.

Ustawa ta określa obowiązki, które należy przestrzegać oraz sankcje za ich naruszenie dla wszystkich organów administracji publicznej i prywatnych przedsiębiorców, którzy obsługują bazy danych informacji osobowych, pod nadzorem “Komisji Ochrony Danych Osobowych” (japońska Komisja Ochrony Danych Osobowych).

Historia zmian w Ustawie o ochronie danych osobowych

Ustawa o ochronie danych osobowych została uchwalona 23 maja 2003 roku (rok Heisei 15) (ustawa nr 57 z dnia 30 maja 2003 roku), a jej postanowienia, z wyjątkiem rozdziałów 4-6 zawierających sankcje karne i bezpośrednio dotyczących przedsiębiorstw, weszły w życie natychmiast. Całość ustawy weszła w życie 1 kwietnia 2005 roku (rok Heisei 17).

W 2015 roku (rok Heisei 27) ustawa została zmieniona, aby sprostać cyfryzacji społeczeństwa. Zmiany obejmowały równoczesne “ochronę danych osobowych” i “wykorzystanie danych osobowych”, “harmonizację z międzynarodowymi systemami” oraz wprowadzenie przepisu o przeglądzie co trzy lata.

W maju 2017 roku (rok Heisei 29) wprowadzono nowelizację, która wprowadziła nowe kategorie danych osobowych, takie jak “kod identyfikacyjny osoby”, “informacje wymagające szczególnej uwagi” i “informacje przetworzone anonimowo”. Wprowadzono również nowy system śledzenia (traceability), obowiązek usiłowania usunięcia danych osobowych, ograniczenia w dostarczaniu danych osobowych do osób trzecich za granicą i utworzono Komisję Ochrony Danych Osobowych. System nadzoru został zmieniony z nadzoru ministra na jednolity system nadzoru Komisji Ochrony Danych Osobowych.

Następnie, 1 kwietnia 2022 roku (rok Reiwa 4), weszła w życie nowelizacja Ustawy o ochronie danych osobowych.

Została ona ogłoszona 12 czerwca 2020 roku (rok Reiwa 2) i jest największą zmianą w “ustawodawstwie o ochronie danych osobowych”, z perspektywy integracji i unifikacji trzech dotychczasowych ustaw związanych z ochroną danych osobowych (Ustawa o ochronie danych osobowych, Ustawa o ochronie danych osobowych w organach administracji publicznej, Ustawa o ochronie danych osobowych w niezależnych agencjach administracyjnych).

Nowa ustawa, która zawiera różne zmiany, została wprowadzona nie tylko w celu ujednolicenia definicji danych osobowych między sektorem publicznym a prywatnym, ale także w celu sprostania globalnej erze AI i big data oraz wzmocnienia ochrony praw i interesów jednostek.

Konkretne zmiany obejmują wprowadzenie nowych kategorii danych osobowych, takich jak “informacje przetworzone pseudonimowo” i “informacje związane z osobą”, a także zaostrzenie i zaostrzenie regulacji dotyczących obsługi danych osobowych, w tym tych przechowywanych za granicą. W przypadku wycieku (wyciek, utrata, uszkodzenie), obowiązkowe jest zgłoszenie do Komisji Ochrony Danych Osobowych i powiadomienie osoby, której dane dotyczą.

W praktyce, zagraniczni operatorzy biznesowi, którzy obsługują dane osobowe osób znajdujących się w Japonii, również stali się celem administracyjnego pobierania raportów i wydawania poleceń, a sankcje karne również są stosowane. Szczegółowe informacje na temat sankcji karnej można znaleźć w tym artykule.

Artykuł powiązany: Wyjaśnienie ‘kary’ w nowelizacji Ustawy o ochronie danych osobowych z 2022 roku (rok Reiwa 4)[ja]

1 kwietnia 2023 roku (rok Reiwa 5) wchodzi w życie nowelizacja ustawy, która ma na celu ujednolicenie regulacji w celu skorygowania nierówności i niespójności w poziomie ochrony wynikających z różnic w przepisach i praktyce stosowania lokalnych ustaw o ochronie danych osobowych, zasad prawnych w dziedzinie medycyny i wyjątków w dziedzinie nauki. Komisja Ochrony Danych Osobowych będzie jedynym organem zarządzającym tym zjednoczonym systemem.

Sześć kluczowych punktów zmienionej w roku 2022 (Rok 4 ery Reiwa) Japońskiej Ustawy o Ochronie Danych Osobowych

Sześć kluczowych punktów zmienionej w roku 2022 Japońskiej Ustawy o Ochronie Danych Osobowych

Ustawa o Ochronie Danych Osobowych, która została nowo zmieniona w roku 2020 (Rok 2 ery Reiwa), biorąc pod uwagę zmiany w sytuacji społecznej i gospodarczej, ma na celu “system, który umożliwia rozpowszechnienie wyników innowacji technologicznych związanych z informacjami o osobach i informacjami z nimi związanymi, zarówno w zakresie wzrostu gospodarczego, jak i ochrony praw i interesów osób”. Zmiana ta została przeprowadzona z następujących pięciu punktów widzenia:

  1. Ochrona praw i interesów jednostki
  2. Wzmocnienie ochrony i wykorzystania wyników innowacji technologicznych
  3. Międzynarodowa harmonizacja i współpraca systemów
  4. Reagowanie na ryzyko związane ze wzrostem przepływu danych transgranicznych
  5. Adaptacja do ery AI i Big Data

Źródło: Komisja Ochrony Danych Osobowych „O zmianie Ustawy o Ochronie Danych Osobowych w roku 2020 | Promowanie wykorzystania i odpowiedniego traktowania danych osobowych”[ja]

Kluczowe punkty zmiany Ustawy o Ochronie Danych Osobowych w roku 2022 (Rok 4 ery Reiwa) można podsumować w następujących sześciu punktach:

  1. Rozszerzenie praw jednostki do wnioskowania
  2. Dodanie obowiązków dla przedsiębiorców
  3. Promowanie samodzielnych działań przedsiębiorców
  4. Promowanie wykorzystania danych
  5. Wzmocnienie kar
  6. Rozszerzenie zastosowania poza terytorium

Aby dostosować się do “Zmienionej Ustawy o Ochronie Danych Osobowych”, która weszła w życie 1 kwietnia 2022 roku (Rok 4 ery Reiwa), przedsiębiorcy zajmujący się danymi osobowymi muszą przeglądać i modyfikować swoje systemy zarządzania ochroną danych osobowych, polityki prywatności, wewnętrzne regulacje, treść umów (takie jak warunki korzystania) itp. Proszę skonsultować się z “Wytycznymi dotyczącymi Ustawy o Ochronie Danych Osobowych” i materiałami szkoleniowymi, które są regularnie aktualizowane przez Komisję Ochrony Danych Osobowych (PPC), i przeglądać system zarządzania danymi osobowymi w swojej firmie.

Wśród punktów zmiany, szczegółowo omawiamy dodane obowiązki przedsiębiorców w poniższym artykule, więc proszę go również przeczytać.

Powiązane artykuły: Omówienie punktów do zwrócenia uwagi na „Obowiązki przedsiębiorców” w zmienionej w roku 2022 (Rok 4 ery Reiwa) Ustawie o Ochronie Danych Osobowych[ja]

Prawa jednostek dotyczące danych osobowych

W tym miejscu omówimy prawa dotyczące danych osobowych, które zostały rozszerzone w wyniku ostatniej nowelizacji, oraz to, jakie działania są wymagane w praktyce.

 Złagodzenie wymagań dotyczących wniosków o zaprzestanie korzystania, usunięcie i zaprzestanie udostępniania osobom trzecim

Wnioski o zaprzestanie korzystania z danych osobowych, ich usunięcie lub zaprzestanie udostępniania osobom trzecim były możliwe tylko w przypadku korzystania z nich w celach innych niż zamierzone lub nielegalnego pozyskania. Jednakże, w nowelizacji prawa, wnioski te stały się możliwe również w przypadku, gdy istnieje ryzyko naruszenia praw jednostki lub jej słusznych interesów. Ponadto, te wnioski stały się możliwe również w przypadku, gdy nie ma już potrzeby korzystania z danych osobowych.

W związku z tym, po nowelizacji, liczba takich wniosków skierowanych do podmiotów przetwarzających dane osobowe prawdopodobnie wzrośnie. Ze strony przedsiębiorstw, konieczne będzie zabezpieczenie zasobów do obsługi tych wniosków i ponowne przygotowanie instrukcji i innych materiałów.

W celu oceny, czy “nie ma już potrzeby korzystania”, konieczne będzie stworzenie systemu, który pozwoli na sprawdzenie celu korzystania z każdego posiadanych danych osobowych.

 Rozszerzenie zakresu wniosków o udostępnienie od osoby, której dane dotyczą

Zakres “wniosków o udostępnienie posiadanych danych osobowych” od osoby, której dane dotyczą, został rozszerzony, a teraz obejmuje również zapisy dotyczące udostępniania danych osobowych przez podmioty przetwarzające dane osobowe.

Dotychczas wnioski o udostępnienie były możliwe tylko poprzez dostarczenie dokumentów pisemnych, ale teraz możliwe jest wybranie metody udostępnienia wyznaczonej przez osobę, której dane dotyczą (udostępnienie poprzez dostarczenie zapisów magnetycznych). W związku z tym, liczba wniosków o udostępnienie online skierowanych do podmiotów przetwarzających dane osobowe prawdopodobnie wzrośnie. Ze strony przedsiębiorstw, konieczne będą techniczne i organizacyjne działania, aby umożliwić udostępnianie poprzez dostarczenie zapisów magnetycznych.

Podmioty przetwarzające dane osobowe muszą, gdy osoba, której dane dotyczą, wnosi o udostępnienie danych w określony sposób, udostępnić dane w ten sposób, chyba że jest to trudne.

Podmioty przetwarzające dane osobowe mogą określić format plików z zapisami magnetycznymi (format PDF, format Word, itp.) oraz sposób dostarczania zapisów magnetycznych (zapisywanie zapisów magnetycznych na nośniku i wysyłanie pocztą, dołączanie zapisów magnetycznych do e-maila i wysyłanie, umożliwianie pobierania zapisów magnetycznych ze strony internetowej, itp.). Jeżeli sposób udostępnienia wyznaczony przez osobę, której dane dotyczą, jest trudny, wystarczy udostępnić dane w sposób, który jest możliwy do zrealizowania. Jednakże, z punktu widzenia poprawy wygody dla osób, której dane dotyczą, zaleca się, aby jak najbardziej dostosować się do ich życzeń.

Źródło: Komisja Ochrony Danych Osobowych „Pytania i odpowiedzi dotyczące wytycznych dotyczących prawa o ochronie danych osobowych|A9-10”[ja]

Rozszerzenie zakresu danych osobowych objętych udostępnieniem itp.

Przed nowelizacją, dane osobowe przechowywane krótkoterminowo, które miały być usunięte w ciągu 6 miesięcy, nie były uważane za “posiadane dane osobowe”. Jednakże, w nowelizacji prawa, stały się one obiektem “posiadanych danych osobowych”, niezależnie od okresu przechowywania.

W związku z tym, podmioty przetwarzające dane osobowe, które przed nowelizacją klasyfikowały dane jako nieobjęte wnioskami ze względu na krótkoterminowe przechowywanie, muszą teraz zrewidować swoje praktyki.

Wzmocnienie regulacji opt-out: dodatkowe informacje do zgłoszenia i publikacji

Do informacji, które powinny być zgłoszone i opublikowane dla osoby, której dane dotyczą, oraz zgłoszone do Komisji Ochrony Danych Osobowych, dodano następujące elementy:

  • Nazwa i inne dane podmiotu przetwarzającego dane osobowe, który udostępnia dane osobom trzecim
  • Metoda pozyskiwania danych osobowych, które są udostępniane osobom trzecim

Jeżeli korzystano z metody “opt-out”, nie było problemu, jeżeli podmiot przetwarzający dane osobowe z góry poinformował osobę, której dane dotyczą, o celu “udostępnienia danych osobowych osobom trzecim” i zadeklarował, że “zaprzestanie udostępniania osobom trzecim”, jeżeli osoba, której dane dotyczą, tego zażąda.

W wyniku tej nowelizacji prawa, jeżeli podmiot przetwarzający dane osobowe chce udostępnić dane osobowe osobom trzecim za pomocą metody “opt-out”, musi zgłosić to z góry do Komisji Ochrony Danych Osobowych. Ponadto, jeżeli zaprzestanie udostępniania za pomocą metody “opt-out”, musi zgłosić tę zmianę.

W związku z tym, podmioty przetwarzające dane osobowe, które udostępniają dane osobom trzecim za pomocą metody “opt-out”, muszą dokonać niezbędnych zmian w swojej polityce prywatności, która zawiera informacje i publikacje na ten temat.

Wzmocnienie regulacji opt-out: zakaz podwójnego opt-out

Dane osobowe, które nie są objęte metodą “opt-out”, obejmują teraz “dane osobowe wymagające szczególnej ostrożności” oraz “dane osobowe pozyskane nielegalnie”, a także nowo wprowadzony zakaz podwójnego opt-out, który zabrania ponownego udostępniania danych osobowych pozyskanych za pomocą metody “opt-out” za pomocą tej samej metody.

W związku z tym, podmioty przetwarzające dane osobowe muszą sprawdzić, jakie metody zostały użyte do pozyskania i uzyskania danych osobowych, które są udostępniane osobom trzecim za pomocą metody “opt-out”, i podjąć działania w celu dostosowania się do nowelizacji prawa.

Rozszerzenie wykorzystania danych dzięki nowelizacji Japońskiej Ustawy o Ochronie Danych Osobowych

Rozszerzenie wykorzystania danych dzięki nowelizacji Japońskiej Ustawy o Ochronie Danych Osobowych

Nowe przetwarzanie informacji pseudonimowych

Na przykład, można rozważyć przypadek przetwarzania informacji osobistych na “informacje anonimowe” lub “informacje pseudonimowe” w celu wykorzystania statystycznego.

Jak już wcześniej wspomniano, “informacje anonimowe” to dane osobowe przetworzone w taki sposób, że nie można zidentyfikować konkretnej osoby, nawet poprzez porównanie z innymi informacjami. Dla informacji anonimowych obowiązywały następujące zasady:

  • Nie jest wymagana zgoda osoby, której dane dotyczą, na udostępnienie danych osobowych
  • Zakaz identyfikacji
  • Podczas tworzenia informacji anonimowych, należy opublikować kategorie danych osobowych zawartych w tych informacjach

Z drugiej strony, “informacje pseudonimowe”, które zostały nowo ustanowione w tej nowelizacji, to dane osobowe przetworzone w taki sposób, że można zidentyfikować osobę poprzez porównanie z innymi informacjami. Dla informacji pseudonimowych ustalono następujące zasady:

  • Nie ma ograniczeń co do zmiany celu przetwarzania, ale po zmianie należy opublikować nowy cel przetwarzania
  • Zakaz identyfikacji i kontaktowania osoby, której dane dotyczą
  • Brak obowiązku reagowania na żądania ujawnienia lub zaprzestania korzystania z danych od osoby, której dane dotyczą
  • Brak obowiązku zgłaszania i informowania o wycieku danych
  • Zakaz udostępniania danych osobowych osobom trzecim

Jednakże, jest możliwe udostępnienie “informacji pseudonimowych”, jeżeli odbiorca jest związany z zleceniem, przejęciem biznesu, wspólnym korzystaniem (np. spółki grupowe, wspólne badania).

Jeżeli podmioty przetwarzające dane osobowe korzystają z “informacji pseudonimowych” do przetwarzania, konieczne może być zmienienie polityki prywatności w związku z określeniem i publikacją celu przetwarzania oraz udostępnianiem danych osobowych osobom trzecim.

Regulacje dotyczące informacji związanych z osobami, które stają się danymi osobowymi u dostawcy

Jeśli w dostawcy “informacje związane z osobą” są “przewidywane” do pozyskania jako “dane osobowe”, dostawca musi potwierdzić u dostawcy, czy uzyskano zgodę osoby, której to dotyczy.

Dostawcom tzw. DMP (Data Management Platform) lub podobnych usług nakładane są regulacje podobne do tych dotyczących udostępniania “danych osobowych” stronie trzeciej.

Przykład: W przypadku pozwu o zniesławienie anonimowego autora, administrator strony posiadający adres IP dostarcza informacje dostawcy usług internetowych (np. NTT, firmy telekomunikacyjne) na podstawie wniosku o ujawnienie informacji o nadawcy.

Regulacje dotyczące informacji związanych z osobami, które stają się danymi osobowymi u dostawcy

Regulacje dotyczące wzmacniania kontroli transgranicznej i stosowania poza terytorium

Przed wprowadzeniem zmian, w przypadku przekazywania danych osobowych podmiotom trzecim za granicą, wymagane było “zgoda osoby, której dane dotyczą”, a także to, że odbiorca jest “podmiotem, który wprowadził system zgodny ze standardami”, oraz że jest to kraj “o poziomie równym Japonii”, tak jak UE czy Wielka Brytania.

W zmienionym prawie dodano nowe wymagania do dwóch pierwszych punktów. Konkretnie, przy uzyskiwaniu “zgody osoby, której dane dotyczą”, wymagane jest teraz ujawnienie następujących informacji:

  • Nazwa kraju, do którego dane będą przenoszone
  • System ochrony danych osobowych w danym kraju
  • Środki, które odbiorca podejmuje w celu ochrony danych osobowych
  • Inne informacje, które mogą być przydatne dla osoby, której dane dotyczą

Co więcej, w odniesieniu do potwierdzenia, że odbiorca jest “podmiotem, który wprowadził system zgodny ze standardami”, wymagane jest teraz, aby podmiot przekazujący dane podejmował “niezbędne środki ochrony danych osobowych” i udostępniał te informacje na żądanie osoby, której dane dotyczą.

Wzmocnienie kontroli transgranicznej

Środki, które musi podjąć podmiot przekazujący dane, obejmują konkretnie “system zarządzania właściwym traktowaniem danych w miejscu przeniesienia” oraz “reakcję na ryzyko niewłaściwego traktowania danych w miejscu przeniesienia”.

Znane systemy ochrony danych osobowych, takie jak GDPR (Ogólne Rozporządzenie o Ochronie Danych) w UE, system CBPR w Wielkiej Brytanii i APEC, a także inne unikalne systemy ochrony danych osobowych w różnych krajach, wymagają zrozumienia i odpowiedniego przygotowania w zależności od sytuacji biznesowej.

Jeśli chodzi o “system ochrony danych osobowych”, jeśli nie ma obowiązków podmiotu zgodnych z “8 zasadami prywatności OECD (Organizacja Współpracy Gospodarczej i Rozwoju)” lub praw osoby, której dane dotyczą, musisz dostarczyć te informacje osobie, której dane dotyczą. Jest to dlatego, że pokazuje istotne różnice w stosunku do japońskiego “Prawa o ochronie danych osobowych”.

W niektórych krajach systemy ochrony danych osobowych mogą być surowsze niż w Japonii, dlatego ważne jest, aby je zrozumieć i monitorować. Szczegółowe informacje można znaleźć na stronie Komisji Ochrony Danych Osobowych.

W zmienionym prawie Komisja Ochrony Danych Osobowych może teraz zbierać raporty, wydawać polecenia i przeprowadzać inspekcje u podmiotów zagranicznych, co gwarantowane jest przez sankcje. Dąży się do równego traktowania podmiotów krajowych i zagranicznych.

W celu skutecznego wykonywania uprawnień wobec podmiotów krajowych i zagranicznych oraz zapewnienia właściwych procedur, konkretne procedury dotyczące doręczenia (doręczenie konsularne, doręczenie publiczne itp.) są określone. Ze względu na relacje z suwerennością zagraniczną, wykonywanie władzy publicznej na terytorium innego kraju jest możliwe tylko za zgodą tego kraju, dlatego planuje się współpracę w egzekwowaniu z zagranicznymi organami, jeśli to konieczne (nie wymaga się ustanowienia agenta, jak w przypadku GDPR).

Podsumowanie: W przypadku zmian w ustawie o ochronie danych osobowych, skonsultuj się z prawnikiem

Wyżej omówiliśmy kluczowe punkty zmienionej w roku Reiwa 4 (2022) japońskiej ustawy o ochronie danych osobowych oraz praktyczne działania, które są wymagane od przedsiębiorców. Oprócz punktów zmian, które omówiliśmy tutaj, jest wiele innych rzeczy, które operatorzy zajmujący się danymi osobowymi muszą zrobić.

Na całym świecie, regulacje prawne dotyczące wykorzystania danych osobowych stają się coraz bardziej rygorystyczne. Szczególnie przedsiębiorcy oferujący usługi online muszą uwzględnić, że ich strony internetowe są dostępne na całym świecie i muszą dostosować się do tych regulacji.

Przedsiębiorcy muszą nie tylko zwracać uwagę na zmiany w japońskiej ustawie o ochronie danych osobowych, ale także na globalne trendy, a także przeglądać swoje systemy zarządzania danymi osobowymi. Jeśli masz problemy z dostosowaniem się do zmian w ustawie o ochronie danych osobowych, zalecamy skonsultowanie się z prawnikiem.

Informacje o środkach zapobiegawczych w naszej kancelarii

Kancelaria prawna Monolith to firma specjalizująca się w prawie IT, a w szczególności w prawie internetowym. W dzisiejszych czasach wyciek danych osobowych stał się poważnym problemem. W przypadku wycieku danych osobowych, może to mieć fatalne skutki dla działalności firmy. Nasza firma posiada specjalistyczną wiedzę na temat zapobiegania wyciekom informacji i środków zaradczych. Szczegóły są opisane w poniższym artykule.

Zakres usług Kancelarii Prawnej Monolith: Sprawy prawne związane z ochroną danych osobowych[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry